Presentasjon lastes. Vennligst vent

Presentasjon lastes. Vennligst vent

1 BS 7799 – etablering av Information Security Management Systems (ISMS) Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet.

Liknende presentasjoner


Presentasjon om: "1 BS 7799 – etablering av Information Security Management Systems (ISMS) Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet."— Utskrift av presentasjonen:

1 1 BS 7799 – etablering av Information Security Management Systems (ISMS) Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet med inf.sikkerhet Risikoanalyse Risikostyring – behandle risiko Velge og iverksette kontrolltiltak Utarbeide anvendelseserklæring

2 2 Termer og definisjoner Trussel: kilde eller situasjon som potensielt kan påføre organisasjonens eiendeler skade Risiko: Sjansen for at noe skjer som kan ha påvirkning på ulike objekter, målt i sannsynlighet og konsekvens Akseptabel risiko: Risiko redusert til et nivå som kan aksepteres av organisasjonen

3 3 Informasjonsinnsamling Informasjonsinnsamlingen er et forarbeid som utføres for å mer effektivt jobbe videre med sikkerhetsplaner. Mer konkret bør følgende informasjon samles inn: eksisterende retningslinjer, policyer, tiltaksplaner systemarkitektur og sikkerhetskomponenter som brannmurer, TTP-tjenester (vil si en uavhengig part som holder styr på en avansert adresse-katalog som sender og mottar digitale sertifikater) og dessuten informasjon om fysisk sikring (bygninger, dører, låser, kabling, osv.)

4 4 Informasjonsinnsamling (forts) loggførte sikkerhetshendelser, notater som beskriver mistanker og alt av sikkerhetsrelevant informasjon rammepolicyer som er pålegg utenfra inklusive lover, styrevedtak, konsesjoner, etc. hvis det finnes store sikkerhetshull: korte intervjuer, spørrerunder om sikkerhet og tiltak hos ansatte, IT-sjefer og ledelse

5 5 Sikkerhetsdomene Et sikkerhetsdomene definerer grensene for virksomhetens sikkerhet. D.v.s. at all informasjon, ressurser, utstyr og aktører innenfor sikkerhetsdomenet er underlagt virksomhetens entydige myndighet, kontroll og policy. Dette vil også ha den konsekvens at før informasjon har ankommet og når informasjon forlater sikkerhetsdomenet har man ingen eller liten kontroll med den. Videre vil man ha mindre kontroll med aktører som fysisk befinner seg på utsiden av sikkerhetsdomenet.

6 6 Domener En virksomhet må definere sine domener En aktør er en aktiv person hvis handlinger vil kunne ha konsekvenser for informasjonen og tilstanden i virksomheten. Bak en aktør skal det følge ansvar, dvs. det må være et rettssubjekt (person eller virksomhet) som kan forfølges rettslig dersom nødvendig. En maskin er således ikke en aktør, men det er derimot de som står bak og er ansvarlig for maskinenes handlinger. Alle aktører i systemet bør listes opp med tittel – ikke navn

7 7 Domener forts Aktører grupperes etter om de er innsidere eller utsidere. Innsidere har virksomheten bedre kontroll på. Typiske slike roller er ansatte, ledelse, adm. dir., kunder, kundegruppe A, kredittilsyn, publikum, presse, sikkerhetssjef, IT-sjef

8 8 Risikoanalyse Risikoanalyse er hovedverktøyet som skal føre frem til sikkerhetspolicy og tiltaksplaner. Informasjon og ressurser er kjernen i sikkerhetsarbeidet. Det er dette som skal beskyttes, og det er deres sårbarhet man er redd for. Første steget her er å lage en komplett oversikt over samtlige ressurser som er innenfor sikkerhetsdomenet. Komplettheten er viktig på dette stadiet. Struktur kan man vente med. Deretter må man strukturere og kategorisere informasjonstypene og ressurstypene slik at alle ressurser innenfor en og samme kategori har omtrent samme beskyttelsesbehov

9 9 Risikoanalyse (forts) For hver ressurskategori må det avgjøres hvilken sikkerhetsmessig verdi ressursene har og hva et angrep mot den kan medføre. Med sikkerhetsmessig verdi mener vi for eksempel en av følgende: Konfidensialitet: Det er viktig at informasjonen holdes hemmelig, og en avsløring vil medføre skade. Integritet: Det er viktig at informasjonen ikke blir endret på en autorisert måte.

10 10 Risikoanalyse - forts Tilgjengelighet: Det er viktig at informasjonen ikke blir ødelagt og/eller at den er tilgjengelig for de autoriserte ved behov. Tyveribeskyttet: Det er viktig at data/program/tjeneste ikke blir benyttet/kopiert/e.t.c. uten at det betales for det og at tjenester som ikke er ment for det blir benyttet av uautoriserte. Sporbarhet: Det er viktig å kunne identifisere hvem som har utført sentrale handlinger i sikkerhetsdomenet. Personvern: Ressursene inkluderer personopplysninger som har behov for konfidensialitet, integritet og/eller tilgjengelighet.

11 11 Risikoanalyse - forts For hvert par av ressurskategori/sikkerhetsegenskap (se neste ark) skal man også beskrive hvilke konsekvenser et sikkerhetsbrudd vil kunne få. Konsekvensene bør graderes etter et eget valgt system, f.eks. kvantitativt i kroner og ører, eller etter et enkelt kvalitativt som liten, moderat, stor og katastrofal. Til slutt beskriver man alle årsakskjeder som kan lede til de ulike sikkerhetsbruddene, og dessuten en angivelse av sannsynligheten for at dette kan inntreffe, enten i tallverdi, eller en enklere gradering som sjelden, vanlig og ofte. Ulike årsakskjeder kan lede til ulike grader av sikkerhetsbrudd. Det hele leder ut i en tabell hvor alle disse sammenhengene blir presentert:

12 12 Risikoanalyse - forts Ressurs- kategori SikkerhetÅrsaks- kjede Sannsyn- lighet Konse- kvens Gradering Kategori 1Konfidens- ialitet Noen ganger skjer … OfteInnsyn i …Moderat …… ……

13 13 Risikoanalyse Mulige risikiSannsynlighet Konsekvens RangeringTiltak Tap av data0,4104Backup Angrep utenfra 0,15101,5Firewall Ikke tilgang til Internett 0,220,4Flere tilganger Sykdom0,721,4Lik kompetanse hos alle

14 14 Risikoanalyse forts Mulige risikiSannsynlighet Konsekvens RangeringTiltak Sykdom Langtids sykdom Angrep innenfra Mangel på kompetanse

15 15 Risikoanalyse forts Mulige risikiSannsynlighet Konsekvens RangeringTiltak Feil på hardware Noen slutter Ikke tilgang til lokalet Interne problemer

16 16 Risikoanalyse forts Mulige risikiSannsynlighet Konsekvens RangeringTiltak Dårlig organisering Dårlig ledelse Støy i lokalet Annet - angi

17 17 Sikkerhetspolicy Hensikt og resultat: Hensikten med denne prosessen er å få etablert en sikkerhetspolicy for virksomheten. Resultatet skal være et dokument inneholdende sikkerhetspolicyen for virksomheten, og som er godkjent av ledelsen. Definisjon: En sikkerhetspolicy definerer sikkerheten i en virksomhet. Alle generelle overordnede regler for håndtering av informasjon (o.l.) skal nedfestes i et policydokument. Sikkerhetspolicyen må være forankret og sanksjonert av virksomhetens ledelse. Den skal på dette nivået være så frakoblet tiltak, løsninger og arkitektur som mulig.

18 18 Sikkerhetspolicy - forts En policy definerer hva slags sikkerhet man ønsker, ikke hvordan denne skal oppnås. (F.eks. bør man skrive "Brukere må identifisere og autentifisere seg før felles ressurser benyttes." og ikke "Brukere må oppgi et passord som skal være på 8 tegn og inneholde 3 spesialtegn ved innlogging.") Redusere risiko: En sikkerhetspolicy har flere sider. For det første skal den redusere den uakseptable risikoen som var identifisert under risikoanalysen, gitt de akseptkriterier som ble besluttet. Det kan gjøres på to måter, enten ved å redusere sannsynligheten for at en uønsket hendelse skal inntreffe (f.eks. ved å redusere adgangen til konfidensiell informasjon) eller ved å redusere konsekvensene ved et eventuelt sikkerhetsbrudd (f.eks. ved å ta backup av viktig tilgjengelighetsdata).

19 19 Sikkerhetspolicy - forts Aksesspolicy: Den andre oppgaven til sikkerhetspolicyen er å sørge for at virksomheten og dens ansatte får arbeide og bruke virksomhetens ressurser på en mest mulig effektiv måte. Derfor bør policyen spesifikt ta stilling til hvilke aktører som skal ha adgang til å aksessere hvilke informasjonskategorier, under hvilke betingelser. Denne delen av sikkerhetspolicyen kalles aksesskontrollpolicy.

20 20 Sikkerhetspolicy - forts Konfidensiell informasjon skal bare bli lest av færrest mulige personer. En mulig avsløring av konfidensiell informasjon kan gjøre stor skade Derfor bør man i aksesskontrollpolicyen gi regler for hvilke aktører som skal lese hvilken informasjon. F.eks. kan informasjon graderes og noen kan gis tilstrekkelig klarering. Eller noen kan oppføres som eier og skal selv bestemme hvilke andre som skal ha adgang til å lese dette. Lignende betraktninger må gjøres over informasjon med behov for integritet og tilgjengelighet. Mulighetene er mange, noen av de mest elementære aksesspolicyene er beskrevet i under:

21 21 Sikkerhetspolicy - eksempel Generelt må man beskrive bakgrunn, motiv og målsetting med sikkerhetsarbeidet. Det må defineres sikkerhetsdomene(r), aktører, informasjonskategorier og andre sentrale begreper. Sporbarhet beskriver hvilke krav man stiller til at aktørene identifiserer og autentiserer seg. Man kan stille ulike krav til ulike typer aktiviteter. Videre stilles krav til logging, alarmering og katastrofeplanlegging. Krav til overvåking kan også være negativ, dvs. at man av anonymitetshensyn legger begrensninger på driftspersonalets muligheter til dette. Aksesspolicy beskriver alle regler for hvem som skal ha adgang til å aksessere hvilke informasjons- og ressurskategorier, og på hvilken måte.

22 22 Sikkerhetspolicy - forts Organisasjon fordeler sikkerhetsansvar utover i virksomheten. Ansvar beskriver det personlige ansvar og hvilke konsekvenser brudd på sikkerhetspolicyen vil kunne medføre. Referanser lister opp de dokumenter som ligger til grunn for sikkerhetsarbeidet, så som rammepolicyer og risikoanalyser. Dessuten kan den gi mer spesifikke referanser til hvilke trusler som søkes redusert ved hvilke policyutsagn. Sanksjonering betyr en dato og underskrift om at ledelsen går god for dokumentet.

23 23 Sikkerhetspolicy - forts Ikke prøv å lage vanntette perfekte sikkerhetsopplegg. Med i sikkerheten ligger kalkulerte risikoer og godtakelse av at verden ikke er perfekt. Resultatet skal være et dokument som inneholder hele policyen, samt pekere til begrunnelse for de valg som er gjort

24 24 Matrise for trusselvurdering Frekvens/ Konsekvens LavMiddelsHøy Lav Middels Høy

25 25 Matrise for risikovurdering Kontroll/ Trusselnivå HøyMiddelsLav Middels Høy


Laste ned ppt "1 BS 7799 – etablering av Information Security Management Systems (ISMS) Gir standarder for etablering av ISMS i en bedrift Fastsetter omfanget av arbeidet."

Liknende presentasjoner


Annonser fra Google